Mariages et Trahisons 



Swan Dubois 1 , Sébastien Tixeuil 2 et Nini Zhu 

1 UPMC Sorbonne Universités & INRIA (France), swan.dubois@lip6.fr 

2 UPMC Sorbonne Universités & IUF (France), sebastien.tixeuil@lip6.fr 

3 UPMC Sorbonne Universités (France) 



Un protocole auto-stabilisant est par nature tolérant aux fautes transitoires (i.e. de durée finie). Ces dernières années ont 
vu apparaître une nouvelle classe de protocoles qui, en plus d'être auto-stabilisants, tolèrent un nombre limité de fautes 
permanentes. Dans cet article, nous nous intéressons aux protocoles auto-stabilisants tolérant des fautes permanentes 
très sévères : les fautes Byzantines. Nous nous concentrons sur la stabilisation stricte, approche dans laquelle le système 
doit converger en temps fini vers un comportement tel que l'effet des fautes Byzantines est confiné avec un rayon 
constant autour de chaque processeur fautif (i.e. seuls les processeurs corrects situés en dessous d'une certaine distance 
d'un processeur Byzantin sont autorisés à ne pas respecter leur spécification). Plus spécifiquement, nous étudions la 
possibilité de construire un mariage maximal dans un réseau où un nombre inconnu et potentiellement non borné de 
processeurs peut avoir un comportement Byzantin. 
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1 Motivations et Définitions 

Le développement des systèmes distribués à large échelle a démontré que la tolérance aux différents types 
de fautes doit être incluse dans les premières étapes du développement d'un tel système. U auto-stabilisation 
permet de tolérer des fautes transitoires tandis que la tolérance aux fautes traditionnelle permet de masquer 
l'effet de fautes permanentes. Il est alors naturel de s'intéresser à des systèmes qui regrouperaient ces deux 
formes de tolérance. Cet article s'inscrit dans cette voie de recherche. 

Le problème de la construction d'un mariage maximal est très étudié en systèmes distribués. Etant donné 
un graphe G = (V,E), un mariage M de G est un sous ensemble de E tel que tout sommet de V appartient 
à au plus une arête de M. Un mariage est maximal s'il n'existe aucun mariage M' tel que M C M'. Le 
problème de la construction d'un mariage maximal est classiquement spécifié de la manière suivante : le 
protocole termine en un temps fini (vivacité) et dans la configuration terminale, il existe un mariage maximal 
(sûreté). D'un point de vue réseau, ce problème a de nombreuses applications comme l'allocation distribuée 
de ressources (fréquences, etc.) dans différents types de réseaux. 

Auto-stabilisation Dans cet article, nous considérons un système distribué asynchrone, i.e. un graphe 
non orienté connexe G où les sommets représentent les processeurs et les arêtes représentent les liens de 
communication. Deux processeurs u et v sont voisins si l'arête (k,v) existe dans G. Pour tout processeur v, 
l'ensemble de ses voisins est noté N v . Les variables d'un processeur définissent son état. L'ensemble des 
états des processeurs du système à un instant donné forme la configuration du système. Dans cet article, nous 
nous concentrons sur les problèmes statiques, i.e. les problèmes dans lesquels le système doit atteindre un 
état donné et y rester. Par exemple, la construction d'arbre couvrant est un problème statique. De plus, nous 
considérons des problèmes pouvant être spécifiés de manière locale (i.e. il existe, pour chaque processeur v, 
un prédicat spec(v) qui est vrai si et seulement si la configuration est conforme au problème). Les variables 
apparaissant dans spec(v) sont appelées variables de sortie ou S-variables. 

Un système auto-stabilisant [Dij74 j est un système atteignant en un temps fini une configuration légitime 
(i.e. spec(v) est vraie pour tout v) indépendamment de la configuration initiale (propriété de convergence). 
Une fois cette configuration légitime atteinte, tout processeur v vérifie spec(v) pour le restant de l'exécution 
et, dans le cas d'un problème statique, le système ne modifie plus ses S-variables (propriété de clôture). Par 
définition, un tel système peut tolérer un nombre arbitraire de fautes transitoires, i.e. de fautes de durée 
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finie (la configuration initiale arbitraire modélisant le résultat de ces fautes). Cependant, la stabilisation du 
système n'est en général garantie que si tous les processeurs exécutent correctement leur protocole. 

Stabilisation stricte Si certains processeurs exhibent un comportement Byzantin {Le. ont un comporte- 
ment arbitraire, et donc potentiellement malicieux), ils peuvent perturber le système au point que certains 
processeurs corrects ne vérifient jamais spec(v). Pour gérer ce type de fautes, [NA02] définit un protocole 
strictement stabilisant comme un protocole auto-stabilisant tolérant des fautes Byzantines permanentes. 
Plus précisément, étant donné c (appelé rayon de confinement), [NA02] définit une configuration c-confinée 
comme une configuration dans laquelle tout processeur v à une distance supérieure à c de tout processeur 
Byzantin vérifie spec(v). Un protocole strictement stabilisant est alors défini comme un protocole satisfai- 
sant les propriétés de convergence et de clôture par rapport à l'ensemble des configurations c-confinées (et 
non plus l'ensemble des configurations légitimes comme en auto-stabilisation). Cela permet d'assurer que 
seuls les processeurs dans le c-voisinage (Le. à distance inférieure ou égale à c) d'un processeur Byzantin 
peuvent ne pas vérifier infiniment souvent la spécification. 

État de l'art Dans le contexte de F auto-stabilisation, le premier protocole de calcul de mariage maximal 
a été fourni par Hsu et Huang [HH92]. Goddard et al. |GHJS03] ont ensuite produit une variante auto- 
stabilisante synchrone de ce protocole. Manne et al. [MMPT09] ont finalement fourni un autre protocole 
pour un environnement asynchrone. En ce qui concerne l'amélioration de la ^-approximation induite par 
le mariage maximal, Ghosh et al. ||GGH + 95| et Blair et Manne |BM03| ont présenté une technique qui 
peut être utilisée pour calculer un mariage maximum dans un arbre, tandis que Goddard et al. [GHS06 1 
ont produit un protocole auto-stabilisant pour calculer une | -approximation dans les anneaux anonymes de 
taille non divisible par trois. Manne et al. ont ensuite généralisé ce résultat à toute topologie [MM PTTD . 
Notez que, contrairement à notre approche, aucune de ces solutions ne tolère un comportement Byzantin 
d'une partie du système. 

2 Mariage Maximal 

Spécification Chaque processeur v a une variable prefi, qui appartient à l'ensemble N v U {null}. Cette 
variable fait référence au voisin de v qu'il préfère pour un mariage. Par exemple, si prefi, = u alors v veut 
ajouter l'arête (v, m) au mariage en construction. Pour tout processeur v, nous définissons l'ensemble de 
prédicats suivants : (i) proposition^, indique que v propose un mariage à un de ses voisins u, mais que m n'a 
pas encore répondu, ( ii) marié v indique que v a proposé u et que u a proposé v en retour, ( ni) condamné v 
indique que v a proposé u, mais que u a proposé un autre de ses voisins, (ivj mort v indique que v n'a aucun 
espoir de se marier (chacun de ses voisins est marié à quelqu'un d'autre), et (v) célibataire v signifie que v 
n'a proposé personne et qu'au moins un de ses voisins est dans un état similaire. Plus formellement, 

proposition^, = 3u G N Vl (pref v = u) A(pref u = null) 

marié v = 3u G N Vl (pref v = u) A(pref u = v) 

condamné \, = 3u G N v ,3w G N u , {prefi, — u) A {pref u = w) A (w ^ v) 

mort v = {p re fv — null) A (Vm G N v ,marié u = true) 

célibataire r = (j?ref v = null) A(3u G N Vl marié u ^ true) 

Il est trivial de vérifier que pour toute configuration y et pour tout processeur v, exactement un de ces 
prédicats est satisfait par v dans y. 

Si le système est sujet à des fautes Byzantines, il est évident qu'aucun protocole ne peut satisfaire la 
spécification classique du problème. A partir de maintenant, un processeur v est considéré localement 
légitime lorsqu'il satisfait le prédicat suivant : spec(v) = marié v \/ mort v . Nous pouvons maintenant décrire 
la propriété globale satisfaite par toute configuration c-confinée pour spec. Informellement, nous pouvons 
prouver l'existence d'un mariage maximal sur un sous-ensemble de G qui contient au moins l'ensemble des 
processeurs c-corrects {Le. les processeurs correct à distance strictement supérieure à c de tout processeur 
Byzantin) dans une telle configuration. Dans la suite, V c désigne l'ensemble des processeurs c-corrects. 

Définition 1 Pour tout entier c > et toute configuration y, le sous-graphe G* y, est le sous-graphe de G 
induit par l'ensemble de sommets suivant : V*y = V c U {v G V \ V c \3u G V c ,pref v = u A prefi, = v}. 
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Algorithme 1 SSM'M : Mariage maximal strictement stabilisant pour le processeur v 

Variables : 

pref v G N v U {null} : voisin préféré de v 
ancien_pref, G N v : voisin préféré précédent de v 

Fonction : 

Pour tout u G {v,null}, suivant v (u) est le premier voisin de v supérieur à ancien_pref v (selon un 
pré-ordre circulaire) tel que pref mivantv{u) = u 

Règles : 

/* Mariage */ 

(M) :: (prefy = null) A (3u G N v ,pref u = v) — > pref v : = suivant v (v) 
I* Séduction */ 

(S) :: {pref v = null) A (Vm G N vi pref u ^ v) A (3u G N Vl pref u — null) — > pref v :— suivant v (null) 
/* Abandon */ 

(A) :: (pref v — u) A (pref, ^ v) A (pref, ^ null) — > ancienjprefy :— pref,; pref v := null 



Il est trivial de déterminer la propriété suivante, satisfaite par toute configuration c-confinée pour spec. 

femme 1 Dans toute configuration y qui est c-confinée pour spec, il existe un mariage maximal sur G* y. 

Le résultat du Lemme[T|motive l'écriture d'un protocole strictement stabilisant pour spec. En effet, même 
si la spécification est locale, elle induit une propriété globale dans toute configuration c-confinée pour spec 
étant donné qu'il existe alors un mariage maximal sur un sous-graphe clairement défini. 

Modèle Nous prenons comme modèle de calcul le modèle à états. Les variables des processeurs sont 
partagées : chaque processeur a un accès direct en lecture aux variables de ses voisins. En une étape ato- 
mique, chaque processeur peut lire son état et ceux de ses voisins et modifier son propre état. Un protocole 
est constitué d'un ensemble de règles de la forme < garde > — >< action >. La garde est un prédicat sur 
l'état du processeur et de ses voisins tandis que V action est une séquence d'instructions modifiant l'état 
du processeur. A chaque étape, chaque processeur évalue ses gardes. Il est dit activable si l'une d'elles est 
vraie. Il est alors autorisé à exécuter son action correspondante (en cas d'exécution simultanée, tous les 
processeurs activés prennent en compte l'état du système du début de l'étape). Les exécutions du système 
(séquences d'étapes) sont gérées par un ordonnanceur : à chaque étape, il sélectionne au moins un proces- 
seur activable pour que celui-ci exécute sa règle. Cet ordonnanceur permet de modéliser F asynchronisme 
du système. La seule hypothèse que nous faisons sur l'ordonnancement est qu'il est localement central et 
fortement équitable, Le. que deux voisins ne peuvent pas être activés durant la même étape et qu'aucun 
processeur ne peut être infiniment souvent activable sans être choisi par l'ordonnanceur. 

Protocole Notre protocole de construction de mariage maximal strictement stabilisant, nommé SS'M'M. 
est formellement présenté en Algorithme Q] La base de ce protocole est le protocole de mariage maximal 
auto-stabilisant de Hsu and Huang |HH92], mais nous autorisons les processeurs à se souvenir de leur 
précédent abandon (par exemple, un mariage non respecté par un processeur Byzantin ou une proposition 
qui n'a pas abouti sur un mariage) dans le but de ne pas répéter les mêmes choix infiniment lorsque des 
processeurs Byzantins participent au processus global du mariage. Les idées qui sous-tendent le processus 
de mariage pour les processeurs corrects sont les suivants : ( i) une fois mariés, les processeurs corrects ne 
divorcent jamais et ne proposent jamais un autre voisin, (ii) les processeurs corrects proposent le mariage à 
n' importe lequel de leur voisin et acceptent le mariage de n' importe lequel de leur voisin qui le leur propose, 
(iii) si un processeur correct réalise qu'il a proposé le mariage a quelqu'un qui est peut être marié à un autre, 
alors il annule sa proposition. Un processeur v maintient deux variables : pref,, qui a été présentée dans la 
spécification du problème, et ancienjprefy qui est utilisée pour stocker le dernier voisin à qui v a proposé 
le mariage de manière non concluante. Enfin, la fonction auxiliaire suivant v est utilisée pour choisir un 
nouveau voisin à qui proposer le mariage. Un pré-ordre circulaire est utilisé sur les voisins de façon à 
limiter l'influence des processeurs Byzantins. En effet, ce pré-ordre circulaire garantit qu'un processeur 
voisin d'un processeur Byzantin ne le choisira pas immédiatement après un divorce causé par ce Byzantin. 
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Il est possible de montrer que ce protocole est strictement stabilisant pour spec avec un rayon de confi- 
nement de 2. En effet, si on considère une configuration initiale dans laquelle tous les processeurs (même 
Byzantins) satisfont spec et dans laquelle un Byzantin b est marié avec un voisin correct v et que ce dernier 
a lui-même un voisin u qui est mort, alors b peut forcer u à devenir célibataire en rompant son mariage 
avec v (ce qui prouve l'absence de clôture de SSMM par rapport aux configurations 2-confinées). De plus, 
cet exemple est suffisant pour prouver l'optimalité de ce rayon de confinement. On peut donc conclure : 
Théorème 1 SSMM est un protocole strictement stabilisant pour la construction d'un mariage maximal 
avec un rayon de confinement de 2, ce qui est optimal. 

L'intuition de la preuve de ce résultat est la suivanteQ. La clôture de l'ensemble des configurations 2- 
confinées est immédiate. La preuve de la convergence du protocole de Hsu et Huang repose sur une fonc- 
tion de potentiel (Le. une fonction associant une valeur à chaque configuration du système, strictement 
décroissante pour toute exécution et atteignant une borne inférieure en cas de stabilisation du système, ce 
qui prouve la convergence en un temps fini du système). Nous avons adapté cette fonction de potentiel 
(en ne prenant en compte que l'état des processeurs 2-corrects alors que la fonction originale considérait 
l'ensemble des processeurs) et montré que cette fonction était ultimement strictement décroissante (Le. les 
processeurs Byzantins ne peuvent provoquer qu'un nombre fini d'accroissement de la fonction), ce qui est 
suffisant pour montrer la convergence du protocole en présence de fautes Byzantines. 

3 Conclusion 

Dans cet article, nous nous sommes intéressé aux protocoles auto-stabilisants confinant de plus l'effet de 
fautes Byzantines permanentes. Nous avons montré que le protocole de Hsu et Huang connu pour construire 
un mariage maximal de manière auto-stabilisante ne nécessitait que très peu de modifications afin de deve- 
nir strictement stabilisant, c'est-à-dire qu'il parvient à confiner l'effet de fautes Byzantines avec un rayon 
constant. Nous avons de plus montré que ce protocole fournit le rayon de confinement optimal pour ce 
problème. 

Des travaux futurs sont nécessaires pour déterminer la qualité globale du mariage obtenu par notre proto- 
cole. Il est connu que, dans un scénario sans Byzantins, tout mariage maximal |HH92, MMPT09] est à un 
facteur 2 de l'optimal (le mariage maximum), mais il existe de meilleures solutions par rapport au facteur 
d'approximation [MMPT1 lj. Il serait intéressant d'étendre ces travaux en présence de Byzantins. 
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t. La preuve complète de ce résultat est disponible dans un rapport de recherche [DTZ12 1. 



